[Pluto-security] FTP - NAT... di nuovo ?!?

Dido dido@sicurweb.com
Thu, 04 Jul 2002 16:35:23 +0200


Ciao. Solitamente, io metto in dmz macchine anc'esse con ip privato,=20
nattate su un ip pubblico. Poi faccio il masq di tutto quello che esce ad=20
es da ppp0 (supponendola l'interfaccia internet), ma solo se proviene a=20
eth0 (la ethernet verso la LAN), e non di tutto (quindi, non fa il masq=20
della dmz). Realizzare questo =E8 semplice (-i eth0 -o ppp0 -j MASQUERADE),=
 e=20
fa in modo che tu possa comunque accedere ai server in DMZ usato l'ip=20
privato... Poi, nelle regole di postrouting, specifiche di nattare solo in=
=20
uscita sulla ppp0.
Per il problema del firewall, hai caricato il modulo ip_nat_ftp ?
Per il resto, spero di avere capito la tua configurazione.... Il mio=20
consiglio, cmq, =E8 non assegnare ai server direttamente l'ip pubblico, ma=
=20
uno privato. E poi, io pi=F9 di una volta ho configurato la macchina=
 firewall=20
con 2 ip (un ip, pi=F9 un alias): esempio, ho ip del firewall x.x.x.120. Gli=
=20
assegno anche un alias x.x.x.121 (ovviamente deve essere tuo anch'esso),=20
poi metto le segg. regole:
- faccio un masquerade particolare, dicendo che tutto quello che esce dalla=
=20
ppp0, proveniente da lan, deve evnire snattato a x.x.x.121 (questo ti=20
permette navigazione interna e tutti gli accessi consentiti verso l'esterno)
- dici che verso x.x.x.121 sono permesse solo connessioni related e=
 established
- dici che verso x.x.x.120 non =E8 permesso nient (magari connessioni=20
amministrative da remoto, se ti servono..)

In questo modo la tua rete =E8 mascherata da un indirizzo virtualmente=20
inesistente (non hai nessun prerouting relativo).
Spero di essere stato chiaro...
Dido

At 13.28 04/07/2002 +0200, you wrote:
>Ciao a tutti!
>
>Situazione:   Firewall con zona DMZ, e:
>POSTROUTING -j SNAT --to=3D${FIREWALL_IP}
>
>funziona bene... quasi sempre.
>
>*** 1) Voglio spedire posta da una postazione LAN (192.168.0.1) usando SMTP
>sulla DMZ.
>
>-> devo mettere un POSTROUTING -s 192.168.0.1 -j SNAT --to=3D192.168.0.1
>
>altrimenti il DMZ pensa che i pacchetti provengano dal ${FIREWALL_IP} ed
>ovviamente non li accetta come RELAY (aperto solo su 192.168.0.1)
>
>Ci sono metodi pi=F9 eleganti ?!? (magari snattare solo le connessioni in=
 uscita
>sul web?)
>
>
>
>*** 2) FTP, questo rompi...
>
>dato che il ${FIREWALL_IP} =E8 un IP pubblico, e ${DMZ_IP} =E8 anche=
 pubblico,=20
>come
>devo fare per permettere connessioni ftp da LAN o da un IP esterno=
 prefissato?
>
>per ora ho provato di tutto, ma senza risposte. Provando poi a fare un
>PREROUTING -s 80.16.145.189 -d 213.26.80.173 -j DNAT --to 213.26.80.172
>in un momentaneo raptus di pazzia, il client mi risponde:
>
>         bash-2.04# ftp ${FIREWALL_IP}
>         Connected to 192.168.1.2.
>         421 Service not available, remote server has closed=20
> connection.
>
>qualcuno ha voglia di raccontarmi per bene che cavolo succede ?!?
>nel frattempo faccio altre prove a manetta...
>bye,
>         prakash
>
>
>_______________________________________________
>pluto-security mailing list
>pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security